- AEMaaCS 主页
- 概述
- 发行说明
- 安全性
- 入门
- AEM as a Cloud Service 迁移历程
- Sites
- 资源
- Assets as a Cloud Service
- 概述和新增功能
- 对 Assets as a Cloud Service 的重要更改
- Assets 架构
- 支持的文件格式
- 资源微服务概述
- Assets 中的辅助功能
- 管理数字资源
- 微前端资源选择器
- 微型前端目标选择器
- 共享资源
- 监测活动和 DAM 任务
- 开始使用资源微服务
- 添加和上传资源
- 搜索资源
- 常见资源管理任务
- 管理发布
- 预览 3D 资源
- 图像的智能标记
- 为视频资源添加智能标记
- 如何组织资源
- 使用 Adobe Stock 资源
- 管理收藏集
- 元数据概述
- 与 Adobe Creative Cloud 集成
- 如何添加或编辑元数据
- 审核文件夹资源和收藏集
- 使用和配置 Assets Insights
- 元数据配置文件
- 元数据架构
- 管理视频资源
- 使用 MSM 重用资源
- 下载资源
- 签入和签出要编辑的资源
- 创建和共享专用文件夹
- 资源的 Digital Rights Management
- 为资源添加水印
- 使用 Creative Cloud API 处理资源
- 图像的颜色标记
- 管理 PDF 文档
- 配置、管理和扩展 Assets
- 共享和分发资源
- 内容片段
- Dynamic Media
- Dynamic Media 历程:基础知识
- Experience League 存档的 Dynamic Media 新闻稿
- 设置 Dynamic Media
- 使用 Dynamic Media
- 配置 Dynamic Media
- 可选 – 配置 Dynamic Media,一般设置
- 可选 – 配置 Dynamic Media,发布设置
- Dynamic Media 疑难解答
- 配置 Dynamic Media 别名帐户
- Dynamic Media 中的辅助功能
- 管理 Dynamic Media 资源
- 优化图像质量的最佳实践
- 图像配置文件
- 视频配置文件
- 管理 Dynamic Media 图像预设
- 应用 Dynamic Media 图像预设
- 管理 Dynamic Media 查看器预设
- 应用 Dynamic Media 查看器预设
- 批次集预设
- 通过 Dynamic Media 使 CDN 缓存失效
- 通过 Dynamic Media Classic 使 CDN 缓存失效
- 智能成像
- 具有客户端设备像素比的智能成像
- 投放 Dynamic Media 资源
- 在 Dynamic Media 中激活热链接保护
- 3D 支持
- Dynamic Media 限制
- 图像集
- 全景图像
- 混合媒体集
- 旋转集
- Dynamic Media 中的视频
- 传送横幅
- 交互式图像
- 交互式视频
- 360 VR 视频
- 将 Dynamic Media 查看器与 Adobe Analytics 和 Adobe Experience Platform 标记集成
- 使用 Quickview 创建自定义弹出窗口
- 为响应式站点传送优化的图像
- 预览 Dynamic Media 资源
- 将 Dynamic Media 资源添加到页面
- 在网页上嵌入动态视频或图像查看器
- 将 URL 关联到您的 Web 应用程序
- 使用规则集转换 URL
- 发布 Dynamic Media 资源
- 使用 Dynamic Media 中的“选择性发布”功能
- 使用选择器
- HTTP2 内容投放常见问题解答
- Flash 查看器生命周期终止
- DHTML 查看器生命周期终止
- 与 Adobe Workfront 集成
- Forms
- Screens
- Content and Commerce
- Headless
- 实施
- 实施 AEM as a Cloud Service 的应用程序
- 使用 Cloud Manager
- 部署 AEM as a Cloud Service
- 开发人员工具
- 个性化
- 配置和扩展 AEM as a Cloud Service
- 部署到 AEM as a Cloud Service
- 创作层
- 预览层
- 内容投放概述
- 连接器
- 操作
- 合规性
- Universal Editor
Headless 内容的权限注意事项
使用 Headless 实施,需要解决多个不同的安全和权限领域。根据 AEM 环境创作或发布,可以广泛地考虑权限和角色。每个环境包含不同的角色并有不同的需求。
Author 服务注意事项
Author 服务是内部用户创建、管理和发布内容的地方。权限以管理内容的不同角色为中心。
管理组级别权限
作为最佳实践,应在 AEM 中设置组级别权限。这些组也称为本地组,可以在 AEM 创作环境中管理。
管理组成员资格的最简单方式是使用 Adobe Identity Management System (IMS) 组,并将 IMS 组分配到本地 AEM 组。
在较高级别,流程为:
- 使用 Admin Console 添加 IMS 用户到新的或现有的 IMS 用户组。
- IMS 组在用户登录时与 AEM 同步。
- 分配 IMS 组到 AEM 组。
- 在 AEM 组上设置权限。
- 用户登录 AEM 并通过 IMS 进行了身份验证后,他们继承 AEM 组的权限。
管理 IMS 和 AEM 用户及组的详细视频演练见此处。
要在 AEM 中管理组,请导航到工具 > 安全 > 组。
要在 AEM 中管理组的权限,请导航到工具 > 安全 > 组。
DAM 用户
在此上下文中,“DAM”表示数字资产管理。DAM 用户是 AEM 中现成可用的组,可用于管理数字资产和内容片段的“日常”用户。此组提供权限以查看、添加、更新、删除和发布内容片段及 AEM Assets 中的所有其他文件。
如果为组成员资格使用 IMS,请添加相应的 IMS 组作为 DAM 用户组的成员。登录 AEM 环境时,IMS 组的成员继承了 DAM 用户组的权限。
自定义 DAM 用户组
最好不要直接修改现成可用组的权限。而是应该创建自己的组,按照 DAM 用户组权限建模,然后进一步限制对 AEM Assets 中不同文件夹的访问权限。
有关更细粒度的权限,请使用 AEM 中的权限控制台,并将路径从 /content/dam 更新为更具体的路径,即 /content/dam/mycontentfragments。
可能最好向此组提供用户创建和编辑内容片段的权限,但不提供删除权限。要查看和分配编辑的权限而不分配删除权限,请参阅内容片段 - 删除注意事项。
模型编辑器
修改内容片段模型的能力应该留给管理员或者一小部分具有更高权限的用户。修改内容片段模型会对下游产生许多影响。
对内容片段模型的修改会变更 Headless 应用程序依赖的底层 GraphQL API。
如果您希望创建一个组来管理内容片段模型,但不提供完整的管理员访问权限,您可以创建具有以下访问控制条目的组:
| 路径 | 权限 | 特权 |
|---|---|---|
/conf |
允许 | jcr:read |
/conf/<config-name>/settings/dam/cfm |
允许 | rep:write、crx:replicate |
Publish 服务权限
Publish 服务被视为“实时”环境,通常是 GraphQL API 使用者与之交互的对象。在 Author 服务上编辑和审批之后的内容,发布到 Publish 服务。然后,Headless 应用程序通过 GraphQL API 使用来自 Publish 服务的已批准内容。
默认情况下,通过 AEM Publish 服务的 GraphQL 端点公开的内容可供所有人访问,包括未经身份验证的用户。
内容权限
通过 AEM 的 GraphQL API 公开的内容,可以使用资源文件夹上的封闭用户组 (CUG) 设置进行限制,这指定了哪些 AEM 用户组(及其成员)可以访问资源文件夹的内容。
资源 CUG 的工作方式如下:
- 首先,拒绝对文件夹和子文件夹的所有访问权限
- 然后,对于在 CUG 列表中列出的所有 AEM 用户组,允许对文件夹和子文件夹的只读访问权限
在包含通过 GraphQL API 公开的内容的资源文件夹上,可以设置 CUG。对 AEM Publish 上资源文件夹的访问应通过用户组进行控制,而不是直接通过用户。创建(或重用)AEM 用户组,授予对包含 GraphQL API 所公开内容的资源文件夹的访问权限。
选择身份验证方案
AEM Headless SDK 支持两种类型的身份验证:
- 基于令牌的身份验证使用绑定到单个技术帐户的服务凭据。
- 使用 AEM 用户的基本身份验证。
访问 GraphQL API
HTTP 请求向 AEM Publish 服务的 GraphQL API 端点提供相应的身份验证凭据,包括凭据授权可以读取的内容,以及可匿名访问内容。GraphQL API 的其他使用者不能读取 CUG 保护的文件夹中的内容。
Business.Adobe.com 资源
